用户收藏属于用户操作的功能，所以我们将在user_operation中进行操作

（1）新建一个配套的Serializers.py（对UserFav进行序列化操作）

 #user_operation/serializers.py
from rest_framework import serializers
from .models import UserFav
from rest_framework.validators import UniqueTogetherValidator


class UserFavSerializers(serializers.ModelSerializer):
    # 获取当前登录的用户
    user = serializers.HiddenField(
        default=serializers.CurrentUserDefault()
    )
    class Meta:
        model = UserFav
        # validate实现唯一联合，一个商品只能收藏一次
        validators = [
            UniqueTogetherValidator(
                queryset=UserFav.objects.all(),
                fields=('user', 'goods'),
                # message的信息可以自定义
                message = "已经收藏"
            )
        ]
        # 收藏的时候需要返回商品的id，因为取消收藏的时候必须知道商品的id是多少
        fields = ('user','goods','id')

（2）收藏的接口既要继承viewset，添加收藏create，删除收藏destroy，收藏列表list

#user_operation/views.py
from rest_framework import mixins,viewsets
from .models import UserFav
from .serializers import UserFavSerializers
from rest_framework.permissions import IsAuthenticated


class UserFavViewSet(mixins.CreateModelMixin,mixins.ListModelMixin,mixins.DestroyModelMixin, viewsets.GenericViewSet):
    """
    用户收藏
    """
    queryset = UserFav.objects.all()
    permission_classes = (IsAuthenticated,)
    serializer_class = UserFavSerializers

（3）配置用户收藏的URL

#urls.py
router.register(r'userfavs', UserFavViewSet, base_name="userfavs")

（4）访问地址：http://127.0.0.1:8000/userfavs/

未登录截图

image.png

登陆收藏三个商品，查看已收藏列表截图

image.png

重复收藏提示“已经收藏”

image.png

（5）drf的权限认证
这样看起来已经完成了用户添加、删除收藏的功能。但还需要保证用户只能删除自己的收藏。
“auth” 和 “permission”是两种东西。auth是用来做用户验证的，permission是用来做权限判断的。

AllowAny 将允许不受限制的访问

IsAuthenticated 将允许登陆用户进行访问

IsAdminUser 将允许管理员进行访问（user.is_staff是True）

IsAuthenticatedOrReadOnly将允许匿名用户具有读取权限，身份验证的用户具有写入权限

首先，判断是否登陆（在#user_operation/views.py已体现）

from rest_framework.permissions import IsAuthenticated
permission_classes = (IsAuthenticated,)

其次，判断是否IsOwnerOrReadOnly

django rest framwork官网已给出例子

class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Object-level permission to only allow owners of an object to edit it.
    对象级别权限只允许对象的所有者进行编辑
    Assumes the model instance has an `owner` attribute.
    假设模型实例有一个“owner”属性。
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        #对任何请求都允许读取权限
        # so we'll always allow GET, HEAD or OPTIONS requests.
        #所以我们总是允许GET, HEAD or OPTIONS请求。
        
        if request.method in permissions.SAFE_METHODS:
            return True

        # Instance must have an attribute named `owner`.
        #实例必须有一个名为“owner”的属性。
        return obj.owner == request.user

在utils中新建permissions，然后粘贴上面的IsOwnerOrReadOnly,并将“owner”改成“user”，这是我们自定义的permissions。

# utils/permissions.py
from rest_framework import permissions

class IsOwnerOrReadOnly(permissions.BasePermission):
    """
    Object-level permission to only allow owners of an object to edit it.
    Assumes the model instance has an `owner` attribute.
    """

    def has_object_permission(self, request, view, obj):
        # Read permissions are allowed to any request,
        # so we'll always allow GET, HEAD or OPTIONS requests.
        if request.method in permissions.SAFE_METHODS:
            return True

        # Instance must have an attribute named `owner`.
        #obj相当于数据库中的model，这里要把owner改为我们数据库中的user
        return obj.user == request.user

自定义的permission类IsOwnerOrReadOnly继承了我们的BasePermission。
方法has_object_permission，是否有对象权限。会检测我们从数据库中拿出来的obj的user是否等于request.user

views中添加该自定义的权限认证类

permission_classes = (IsAuthenticated,IsOwnerOrReadOnly)

这样在做删除的时候就会验证权限。

重载get_queryset方法

只能查看当前登录用户的收藏，不会获取所有用户的收藏。因此我们要重载get_queryset方法

def get_queryset(self):
    #只能查看当前登录用户的收藏，不会获取所有用户的收藏
    return UserFav.objects.filter(user=self.request.user)

token认证配置到view中

使用其他工具时（postman）输入用户名密码也可以进行登录，是因为我们配置了多种auth类。

token的认证一般配置到view中，而不是配置到全局中。

前端的每一个request请求都加入我们的token的话，token过期了，当用户访问goods列表页等不需要token认证的页面也会拿不到数据。

将setting中的 'rest_framework_jwt.authentication.JSONWebTokenAuthentication',删除掉。

然后在具体的view中来import以及进行配置

from rest_framework_jwt.authentication import JSONWebTokenAuthentication
authentication_classes = (JSONWebTokenAuthentication, )

此时在我们的api控制台以及无法使用登录进入userfav了，是因为我们的类内auth并不包含session auth

from rest_framework.authentication import SessionAuthentication
    #auth使用来做用户认证的
    authentication_classes = (JSONWebTokenAuthentication,SessionAuthentication)

user_operaton/views.py中的代码

# user_operaton/views.py
from rest_framework import viewsets
from rest_framework import mixins
from .models import UserFav
from .serializers import UserFavSerializer
from rest_framework.permissions import IsAuthenticated
from utils.permissions import IsOwnerOrReadOnly
from rest_framework_jwt.authentication import JSONWebTokenAuthentication
from rest_framework.authentication import SessionAuthentication

class UserFavViewset(viewsets.GenericViewSet, mixins.ListModelMixin, mixins.CreateModelMixin, mixins.DestroyModelMixin):
    '''
    用户收藏
    '''
    serializer_class = UserFavSerializer
    #permission是用来做权限判断的
    # IsAuthenticated：必须登录用户；IsOwnerOrReadOnly：必须是当前登录的用户
    permission_classes = (IsAuthenticated,IsOwnerOrReadOnly)
#auth使用来做用户认证的
    authentication_classes = (JSONWebTokenAuthentication,SessionAuthentication)
    #搜索的字段
    lookup_field = 'goods_id'

    def get_queryset(self):
        #只能查看当前登录用户的收藏，不会获取所有用户的收藏
        return UserFav.objects.filter(user=self.request.user)

说明：

<1>只有登录用户才可以收藏

<2>用户只能获取自己的收藏，不能获取所有用户的收藏

<3>JSONWebTokenAuthentication认证不应该全局配置，因为用户获取商品信息或者其它页面的时候并不需要此认证，所以这个认证只要局部中添加就可以

<4>删除settings中的

'rest_framework_jwt.authentication.JSONWebTokenAuthentication',

（5）API参考

GenericAPIView

此类扩展了REST框架的APIView类，为标准列表和详细信息视图添加了常用的行为。

提供的每个具体通用视图是通过GenericAPIView与一个或多个mixin类组合而构建的。

属性

基本设置：

以下属性控制基本视图行为。

• queryset - 应该用于从此视图返回对象的查询集。通常，您必须设置此属性，或覆盖该get_queryset()方法。如果要覆盖视图方法，则必须调用get_queryset()而不是直接访问此属性，因为queryset将进行一次评估，并且将为所有后续请求缓存这些结果。
• serializer_class - 应该用于验证和反序列化输入以及序列化输出的序列化程序类。通常，您必须设置此属性，或覆盖该get_serializer_class()方法。
• lookup_field - 应用于执行单个模型实例的对象查找的模型字段。默认为'pk'。请注意，使用超链接的API时，您需要确保双方的API意见和串行类设置查找字段，如果你需要使用一个自定义值。
• lookup_url_kwarg - 应该用于对象查找的URL关键字参数。URL conf应包含与此值对应的关键字参数。如果未设置，则默认使用相同的值lookup_field。

分页：

与列表视图一起使用时，以下属性用于控制分页。

• pagination_class - 分页列表结果时应使用的分页类。默认为与DEFAULT_PAGINATION_CLASS设置相同的值，即'rest_framework.pagination.PageNumberPagination'。设置pagination_class=None将禁用此视图上的分页。

过滤：

• filter_backends - 应该用于过滤查询集的过滤器后端类列表。默认值与DEFAULT_FILTER_BACKENDS设置相同。

方法

基本方法：

get_queryset(self)

返回应该用于列表视图的查询集，该查询集应该用作详细视图中查找的基础。默认返回queryset属性指定的查询集。

应始终使用此方法而不是self.queryset直接访问，因为self.queryset只进行一次评估，并为所有后续请求缓存这些结果。

可以重写以提供动态行为，例如返回查询集，该查询集特定于发出请求的用户。

例如：

def get_queryset(self):
    user = self.request.user
    return user.accounts.all()

get_object(self)

返回应该用于详细视图的对象实例。默认使用lookup_field参数来过滤基本查询集。

可以重写以提供更复杂的行为，例如基于多个URL kwarg的对象查找。

例如：

def get_object(self):
    queryset = self.get_queryset()
    filter = {}
    for field in self.multiple_lookup_fields:
        filter[field] = self.kwargs[field]

    obj = get_object_or_404(queryset, **filter)
    self.check_object_permissions(self.request, obj)
    return obj

请注意，如果您的API不包含任何对象级别权限，您可以选择性地排除self.check_object_permissions，并简单地从get_object_or_404查找中返回该对象。

filter_queryset(self, queryset)

给定一个查询集，使用正在使用的任何过滤后端过滤它，返回一个新的查询集。

例如：

def filter_queryset(self, queryset):
    filter_backends = (CategoryFilter,)

    if 'geo_route' in self.request.query_params:
        filter_backends = (GeoRouteFilter, CategoryFilter)
    elif 'geo_point' in self.request.query_params:
        filter_backends = (GeoPointFilter, CategoryFilter)

    for backend in list(filter_backends):
        queryset = backend().filter_queryset(self.request, queryset, view=self)

    return queryset

get_serializer_class(self)

返回应该用于序列化程序的类。默认返回serializer_class属性。

可以重写以提供动态行为，例如使用不同的序列化程序进行读写操作，或者为不同类型的用户提供不同的序列化程序。

例如：

def get_serializer_class(self):
    if self.request.user.is_staff:
        return FullAccountSerializer
    return BasicAccountSerializer

保存和删除挂钩：

mixin类提供了以下方法，并提供了对象保存或删除行为的轻松覆盖。

• perform_create(self, serializer)- CreateModelMixin保存新对象实例时调用。
• perform_update(self, serializer)- UpdateModelMixin保存现有对象实例时调用。
• perform_destroy(self, instance)- DestroyModelMixin删除对象实例时调用。

这些挂钩对于设置请求中隐含的属性特别有用，但不是请求数据的一部分。例如，您可以根据请求用户或基于URL关键字参数在对象上设置属性。

def perform_create(self, serializer):
    serializer.save(user=self.request.user)

这些覆盖点对于添加在保存对象之前或之后发生的行为（例如通过电子邮件发送确认或记录更新）也特别有用。

def perform_update(self, serializer):
    instance = serializer.save()
    send_email_confirmation(user=self.request.user, modified=instance)

你也可以使用这些钩子来提供额外的验证，通过提高ValidationError()。如果您需要在数据库保存点应用某些验证逻辑，这可能很有用。例如：

def perform_create(self, serializer):
    queryset = SignupRequest.objects.filter(user=self.request.user)
    if queryset.exists():
        raise ValidationError('You have already signed up')
    serializer.save(user=self.request.user)

注意：这些方法取代旧式的2.x版pre_save，post_save，pre_delete和post_delete方法，这将不再可用。

其他方法：

您通常不需要覆盖以下方法，但如果您正在使用编写自定义视图，则可能需要调用它们GenericAPIView。

• get_serializer_context(self) - 返回包含应提供给序列化程序的任何额外上下文的字典。默认为包括'request'，'view'和'format'钥匙。
• get_serializer(self, instance=None, data=None, many=False, partial=False) - 返回一个序列化程序实例。
• get_paginated_response(self, data)- 返回分页样式Response对象。
• paginate_queryset(self, queryset)- 如果需要，可以分页查询集，返回页面对象，或者None如果没有为此视图配置分页。
• filter_queryset(self, queryset) - 给定一个查询集，使用正在使用的过滤后端进行过滤，返回一个新的查询集。